Anti-DDoS Originインスタンスを購入した後、保護のためにパブリックIPアドレスが割り当てられているアセットをインスタンスに追加する必要があります。 このように、Anti-DDoS Originは、アセットのデフォルトの軽減機能を提供します。 保護されたプロジェクトでクロスボーダーDDoS攻撃が発生し、サービスにクロスボーダートラフィックが含まれていない場合は、クロスボーダートラフィックのブロックを有効にして、クロスボーダートラフィックをすばやくブロックできます。 このトピックでは、保護対象のオブジェクトを追加し、保護対象のオブジェクトに対してクロスボーダートラフィックブロックを有効にする方法について説明します。
保護のためのオブジェクトの追加
Anti-DDoS Originインスタンスを初めて使用する場合は、ページに記載されている指示に従って、Alibaba Cloudアカウント内のアセットの承認を完了する必要があります。
シナリオ1: Anti-DDoS Origin 1.0 (サブスクリプション) インスタンスへのオブジェクトの追加
インスタンスはAnti-DDoS Origin Enterpriseインスタンスのみで、通常のAlibaba Cloudサービスのアセットを保護できます。
Traffic Securityコンソールにログインします。
上部のナビゲーションバーで、インスタンスが属するリソースグループとインスタンスが存在するリージョンを選択します。
左側のナビゲーションウィンドウで、.
保護オブジェクト ページで、購入したインスタンスを選択し、保護対象の追加 をクリックします。
保護対象の追加 ダイアログボックスで、アセットから追加 または 手動で追加 タブをクリックし、保護対象のアセットを追加します。 次に、OK をクリックします。
アセットから追加: 現在のAlibaba Cloudアカウントに属するアセットを選択します。
手動で追加: 現在のAlibaba Cloudアカウントに属するアセットのパブリックIPアドレスを入力します。
シナリオ2: Anti-DDoS Origin 2.0 (サブスクリプション) インスタンスへのオブジェクトの追加
インスタンスは、中小企業向けのInclusive EditionのAnti-DDoS Origin EnterpriseインスタンスまたはAnti-DDoS Originインスタンスで、通常のAlibaba Cloudサービスのアセットを保護できます。
Traffic Securityコンソールにログインします。
上部のナビゲーションバーで、インスタンスが属するリソースグループと [すべてのリージョン] を選択します。
左側のナビゲーションウィンドウで、を選択します。
保護オブジェクト ページで、購入したインスタンスを選択し、保護対象の追加 をクリックします。
保護対象の追加 ダイアログボックスで、アセットから追加 または 手動で追加 タブをクリックし、保護対象のアセットを追加します。 次に、OK をクリックします。
アセットから追加: 現在のAlibaba Cloudアカウントに属するアセットを選択します。
手動で追加: 現在のAlibaba Cloudアカウントに属するアセットのパブリックIPアドレスを入力します。
シナリオ3: オブジェクトをAnti-DDoSオリジン2.0 (従量課金) インスタンスに追加
インスタンスは、通常のAlibaba Cloudサービスのアセット、またはAnti-DDoS (Enhanced) を有効にしたelastic IPアドレス (EIP) を保護できます。
通常のAlibaba Cloudサービスのアセット: 次の操作を実行して、アセットをインスタンスに追加できます。
Anti-DDoS (Enhanced) が有効なEIP: Anti-DDoS (Enhanced) が有効なEIPを購入すると、Anti-DDoS (Enhanced) が有効なEIPが自動的に追加されて保護されます。 Anti-DDoS (Enhanced) を有効にしてEIPを手動で追加する必要はありません。 保護オブジェクト ページの [Anti-DDoS (拡張) が有効になっているEIP] タブで、購入したAnti-DDoS (拡張) が有効になっているEIPを表示できます。
Traffic Securityコンソール.にログインします。
上部のナビゲーションバーで、インスタンスが属するリソースグループと [すべてのリージョン] を選択します。
左側のナビゲーションウィンドウで、を選択します。
保護オブジェクト ページで、購入したインスタンスを選択し、保護対象の追加 をクリックします。
保護対象の追加 ダイアログボックスで、アセットから追加 または 手動で追加 タブをクリックし、保護対象のアセットを追加します。 次に、OK をクリックします。
アセットから追加: 現在のAlibaba Cloudアカウントに属するアセットを選択します。
手動で追加: 現在のAlibaba Cloudアカウントに属するアセットのパブリックIPアドレスを入力します。
シナリオ4: マルチアカウント管理機能を有効にした後に保護するメンバーのアセットを追加する
Alibaba Cloudアカウントのマルチアカウント管理機能が有効になっており、管理アカウントである場合、保護のためにメンバーのアセットを追加できます。 詳細については、「マルチアカウント管理機能の使用」をご参照ください。
マルチアカウント管理機能は、Anti-DDoS Origin 2.0 (サブスクリプション) エンタープライズインスタンスとAnti-DDoS Origin 2.0 (従量課金) インスタンスに対してのみ有効にできます。
通常のAlibaba Cloudサービスのアセット: 次の操作を実行して、アセットをインスタンスに追加できます。
Anti-DDoS (Enhanced) が有効になっているEIP: マルチアカウント管理機能が有効になると、メンバーが購入したAnti-DDoS (Enhanced) が有効になっているEIPが自動的に追加されて保護されます。 Anti-DDoS (Enhanced) を有効にしてEIPを手動で追加する必要はありません。 保護オブジェクト ページの [Anti-DDoS (拡張) が有効になっているEIP] タブで、購入したAnti-DDoS (拡張) が有効になっているEIPを表示できます。
Traffic Securityコンソールにログインします。
上部のナビゲーションバーで、インスタンスが属するリソースグループと [すべてのリージョン] を選択します。
左側のナビゲーションウィンドウで、を選択します。
保護オブジェクト ページで、購入したインスタンスを選択し、保護対象の追加 をクリックします。
保護対象の追加 ダイアログボックスで、メンバーアカウントの資産追加 をクリックし、OK をクリックします。
保護されたオブジェクトのクロスボーダートラフィック遮断を有効にする
国境を越えたトラフィック遮断軽減ポリシーには有効期間があり、1か月に10回しか使用できません。 DDoS攻撃が発生した場合、このタイプの軽減ポリシーを有効にすることを推奨します。
クロスボーダートラフィックブロッキング軽減ポリシーは、指定されたブロッキング期間内のすべてのクロスボーダーサービストラフィックを破棄します。 このポリシーは、サービスが国境を越えたトラフィックを含まないシナリオに適しています。 クロスボーダートラフィックブロッキング軽減ポリシーは、通常、インターネットサービスプロバイダ (ISP) のバックボーンネットワーク内のコアルータを使用することによって、攻撃源の位置に基づいて特定の領域からのトラフィックを破棄する。
保護された資産が中国本土にある場合、国境を越えたトラフィック遮断軽減ポリシーは、中国本土外からのすべてのトラフィックを遮断します。
保護された資産が中国本土の外にある場合、国境を越えたトラフィック遮断軽減ポリシーは、中国本土からのすべてのトラフィックを遮断します。
アセットがDDoS攻撃を受けた場合、Traffic Securityコンソールにログインし、[攻撃分析] ページで攻撃の詳細を表示できます。 攻撃トラフィックがクロスボーダーIPアドレスから送信される場合は、アセットのクロスボーダートラフィックブロック軽減ポリシーを有効にできます。 指定したブロッキング期間が終了すると、ポリシーはクロスボーダートラフィックのブロックを自動的に停止します。 クロスボーダートラフィックをブロックしたくない場合は、ブロッキング期間が終了する前にクロスボーダートラフィックのブロッキングを手動で無効にできます。
にログインします。Traffic Securityコンソール.
上部のナビゲーションバーで、インスタンスが属するリソースグループとインスタンスが存在するリージョンを選択します。
Anti-DDoSオリジン1.0 (サブスクリプション) インスタンス: インスタンスが存在するリージョンを選択します。
Anti-DDoSオリジン2.0 (サブスクリプション) インスタンスおよびAnti-DDoSオリジン2.0 (従量課金) インスタンス: [すべてのリージョン] を選択します。
左側のナビゲーションウィンドウで、.
必要なインスタンスを選択し、管理するアセットのIPアドレスを見つけ、[クロスボーダートラフィックブロッキング] 列でスイッチをオンにして、ブロッキング期間を設定します。
説明ブロッキング期間は30分〜1日とすることができる。 設定後にブロッキング期間を直接変更することはできません。 ブロッキング期間を変更する場合は、クロスボーダートラフィックのブロッキングを無効にし、再度有効にする必要があります。
アセットに指定した [開始時刻] と [終了時刻] をアセットリストに表示できます。 ブロッキング期間が終了すると、クロスボーダートラフィックのブロッキングが自動的に無効になり、クロスボーダートラフィックのブロッキング列のスイッチがオフになります。
保護されたオブジェクトの管理
保護されたオブジェクトの詳細の表示
Traffic Securityコンソールにログインします。
上部のナビゲーションバーで、インスタンスが属するリソースグループとインスタンスが存在するリージョンを選択します。
Anti-DDoSオリジン1.0 (サブスクリプション) インスタンス: インスタンスが存在するリージョンを選択します。
Anti-DDoSオリジン2.0 (サブスクリプション) インスタンスおよびAnti-DDoSオリジン2.0 (従量課金) インスタンス: [すべてのリージョン] を選択します。
左側のナビゲーションウィンドウで、を選択します。
保護オブジェクト ページで、管理するインスタンスを選択します。 その後、インスタンスによって保護されているアセットの軽減設定を表示できます。
パブリックIPアドレスとWAFインスタンスが割り当てられているアセット
列
説明
IP
インスタンスによって保護されているアセット。
資産の所有者アカウント
アセットが属するAlibaba Cloudアカウント。 この列は、現在のAlibaba Cloudアカウントのマルチアカウント管理機能が有効になっており、管理アカウントであり、Anti-DDoS Origin 2.0 Enterpriseインスタンスを購入した場合にのみ表示されます。
トラフィックスクラブ
トラフィックスクラブがトリガーされる前に到達する必要がある最小帯域幅。 帯域幅はMbit/sとppsで測定されます。 詳細については、「トラフィックスクラブしきい値の設定」をご参照ください。
資産リージョン
アセットが存在するリージョン。
アセットタイプ
アセットのタイプ。
ステータス
アセットのセキュリティステータス。
正常です。
ブラックホールフィルタリングをトリガーします。 ブラックホールのフィルタリングを手動で無効にできます。 ブラックホールフィルタリングを無効にするには、操作 列の [ブラックホールフィルタリングの無効化] をクリックします。 [ブラックホールのフィルタリングを無効にする] メッセージで、ブラックホールのフィルタリングを無効にする残りの回数を表示し、確定 をクリックします。 ブラックホールのフィルタリングイベントを表示することもできます。 詳細については、「ブラックホールフィルタリングイベントに関する情報の表示」をご参照ください。
保護テンプレート
アセットにアタッチされている軽減ポリシー。
この列に デフォルト が表示されている場合、アセットには軽減ポリシーはアタッチされません。 アセットには、Anti-DDoS Originのデフォルトの軽減機能が提供されます。 カスタム軽減ポリシーが使用されている場合は、ポリシーをクリックして 軽減設定 ページに移動し、ポリシーの詳細を表示できます。
国境を越えたトラフィックのブロッキング
クロスボーダートラフィックブロックが有効かどうかを示します。
操作
削除: アセットを削除します。
ブラックホールフィルタリングの無効化: ブラックホールフィルタリングの無効化。 この操作は、アセットがBlackhole Filtering Triggered状態の場合にのみサポートされます。
リアルタイム有効ポリシーの表示: アセットに添付されている軽減ポリシーの詳細を表示します。
Anti-DDoS (拡張) が有効なEIP
列
説明
IP
Anti-DDoS (拡張) が有効なEIP。
資産の所有者アカウント
アセットが属するAlibaba Cloudアカウント。 この列は、現在のAlibaba Cloudアカウントのマルチアカウント管理機能が有効になっており、管理アカウントである場合にのみ表示されます。
トラフィックスクラブ
トラフィックスクラブがトリガーされる前に到達する必要がある最小帯域幅。 帯域幅はMbit/sとppsで測定されます。 詳細については、「トラフィックスクラブしきい値の設定」をご参照ください。
資産リージョン
Anti-DDoS (Enhanced) が有効になっているEIPが存在するリージョン。
アセットタイプ
値は、Anti-DDoS (Enhanced) EnabledでEIPとして固定されています。
ポート数
ポート固有の軽減ポリシーが設定されているポートの数。 Anti-DDoS (拡張) が有効になっているEIPの左側にある
アイコンをクリックすると、ポート固有の軽減ポリシーがアタッチされているポートを表示できます。 ステータス
Anti-DDoS (Enhanced) が有効になっているEIPのセキュリティステータス。
正常です。
ブラックホールフィルタリングをトリガーします。 ブラックホールのフィルタリングを手動で無効にできます。 ブラックホールフィルタリングを無効にするには、操作 列の [ブラックホールフィルタリングの無効化] をクリックします。 [ブラックホールのフィルタリングを無効にする] メッセージで、ブラックホールのフィルタリングを無効にする残りの回数を表示し、確定 をクリックします。 ブラックホールのフィルタリングイベントを表示することもできます。 詳細については、「ブラックホールフィルタリングイベントに関する情報の表示」をご参照ください。
保護テンプレート
Anti-DDoS (拡張) が有効になっているEIPにアタッチされている軽減ポリシー。
この列に デフォルト が表示されている場合、Anti-DDoS (Enhanced Edition) が有効なEIPには軽減ポリシーがアタッチされていません。 アセットには、Anti-DDoS Originのデフォルトの軽減機能が提供されます。 カスタム軽減ポリシーが使用されている場合は、ポリシーをクリックして 軽減設定 ページに移動し、ポリシーの詳細を表示できます。
国境を越えたトラフィックのブロッキング
クロスボーダートラフィックブロックが有効かどうかを示します。
操作
ポートの追加: ポートを追加します。
ブラックホールフィルタリングの無効化: ブラックホールフィルタリングの無効化。 この操作は、Anti-DDoS (Enhanced) が有効なEIPがBlackhole Filtering Triggered状態の場合にのみサポートされます。
リアルタイム有効ポリシーの表示: Anti-DDoS (Enhanced) が有効になっているEIPにアタッチされている軽減ポリシーの詳細を表示します。
保護されたオブジェクトの削除
保護オブジェクト ページで、管理するインスタンスを選択します。
アセットリストで、管理するアセットを見つけて、操作 列の 削除 をクリックします。
保護対象の削除 メッセージで、プロンプトを表示し、確定 をクリックします。
よくある質問
関連ドキュメント
アセットが追加されると、保護テンプレート 列に デフォルト が表示されます。これは、アセットに対してAnti-DDoS Originのデフォルトの軽減機能が提供されていることを示します。 特定の特性を持つサービストラフィックを許可または拒否する場合は、カスタム緩和ポリシーを作成し、そのポリシーをアセットにアタッチできます。 詳細については、「IP固有の軽減ポリシーの設定」および「ポート固有の軽減ポリシーの設定」をご参照ください。
警告ポート固有の軽減ポリシーをポートにアタッチすると、TCPベースのサービスで数秒続く一時的な接続が発生します。 オフピーク時には、ポート固有の軽減ポリシーをポートにアタッチすることを推奨します。
通常のAlibaba Cloudサービスの資産は、IP固有の軽減ポリシーのみをサポートしています。 Anti-DDoS (Enhanced) 対応のEIPは、IP固有とポート固有の両方の軽減ポリシーをサポートします。 IP固有とポート固有の両方の軽減ポリシーを設定する場合、IP固有の軽減ポリシーの優先度が高くなります。
アセットのスクラブしきい値の設定の詳細については、「トラフィックスクラブしきい値の設定」をご参照ください。